Des hackers associés à l’Iran ciblent des contrôleurs logiques programmables (PLC) exposés sur Internet, affectant les réseaux d’organisations essentielles aux États-Unis. Cette alerte a été diffusée dans un avis conjoint émis par le FBI, le CISA, la NSA, l’Environmental Protection Agency (EPA), le Department of Energy (DOE) et le Cyber Command des États-Unis.
Ces attaques, qui perdurent depuis mars 2026, affectent de nombreux secteurs critiques, notamment les services gouvernementaux, les Systèmes d’Eau et d’Eaux Usées et l’énergie, entraînant des pertes financières et des interruptions opérationnelles.
Selon l’avis, le FBI a identifié une activité de groupe d’attaquants APT affiliés à l’Iran qui cherchent à perturber le fonctionnement des PLC exposés sur Internet en interagissant malicieusement avec les fichiers de projet et en manipulant les données affichées sur les interfaces HMI et SCADA.
Le FBI ajoute que les campagnes de ciblage par des APT associés à l’Iran se sont intensifiées, probablement en réaction aux tensions entre l’Iran, les États-Unis et Israël.
Dans un rapport similaire publié en novembre 2023, le groupe de cybercriminalité CyberAv3ngers, lié au Garde Révolutionnaire Islamique (IRGC), était signalé pour avoir exploité des vulnérabilités dans les systèmes de technologie opérationnelle de Unitronics basés aux États-Unis. Entre novembre 2023 et janvier 2024, ce groupe aurait compromis au moins 75 dispositifs PLC de cette marque à travers plusieurs vagues d’attaques, dont la moitié sur des réseaux d’infrastructure critique pour l’eau et les eaux usées.
Pour se prémunir contre ces attaques, il est conseillé aux responsables réseaux de déconnecter les PLC d’Internet ou de les sécuriser à l’aide d’un pare-feu. Ils doivent également scanner les journaux pour détecter des indices de compromission, vérifier le trafic suspect sur les ports OT, surtout ceux provenant de fournisseurs d’hébergement internationaux. L’implémentation d’une authentification multifactorielle (MFA) pour l’accès au réseau OT est également recommandée.
Il est impératif de maintenir les PLC à jour avec les derniers firmwares, de désactiver tous les services et méthodes d’authentification non utilisés, et de surveiller le trafic réseau pour toute activité suspecte.
Le mois dernier, le groupe hacktiviste pro-palestinien Handala, lié à l’Iran, a effacé environ 80 000 dispositifs sur le réseau de la société médicale américaine Stryker, touchant des ordinateurs personnels et des appareils mobiles des employés.
Enfin, le FBI a également averti que des hackers iraniens liés au Ministère de l’Intelligence et de la Sécurité exploitent Telegram dans le cadre de leurs attaques complètes.